Mittels der folgenden an sich einfachen Konfigurationsschritte besteht die Möglichkeit bei HTTP Traffic, sich vor TCP-SYNC-Attacken zu schützen. In meinen Beispiel möchte auf die folgenden Werte triggern:
- conn-max 100
- embryonic-conn-max 200
- per-client-embryonic-max 10
- per-client-max 5
- random-sequence-number enable
- timeout embryonic 0:0:45
- timeout half-closed 0:25:0
- timeout tcp 2:0:0
Das zugehörige Konfigurationsbeispiel würde wie folgt aussehen:
conf t
! in der class-map wird definiert was ueberprueft werden soll
class-map tcp-syn
match port tcp eq www
!
policy-map PWAN
! die policy-map wird mit der class-map verknuepft
class tcp-syn
! jetzt werden werden die oben genannten Werte gesetzt
set connection conn-max 100
set connection embryonic-conn-max 200
set connection per-client-embryonic-max 10
set connection per-client-max 5
set connection random-sequence-number enable
set connection timeout embryonic 0:0:45
set connection timeout half-closed 0:25:0
set connection timeout tcp 2:0:0
exit
exit
! die policy-map wird auf das zu ueberwachende interface gebunden
service-policy PWAN interface WAN
exit
!
! speichern der Konfiguration
write memory